KR102295654B1 - 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 - Google Patents
공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 Download PDFInfo
- Publication number
- KR102295654B1 KR102295654B1 KR1020190166029A KR20190166029A KR102295654B1 KR 102295654 B1 KR102295654 B1 KR 102295654B1 KR 1020190166029 A KR1020190166029 A KR 1020190166029A KR 20190166029 A KR20190166029 A KR 20190166029A KR 102295654 B1 KR102295654 B1 KR 102295654B1
- Authority
- KR
- South Korea
- Prior art keywords
- asset
- attack
- information
- graph
- relationship
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
개시된 공격 대상 예측 장치는, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출부, 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정부, 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성부, 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함한다.
Description
본 발명은 공격 그래프를 기반으로 공격 대상을 예측하는 방법 및 그를 위한 장치에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
최근 사이버 공격이 증가함에 따라 기업 및 각 기관에서는 사이버 공격을 대비하고 기업/기관의 정보자산을 지키기 위해 다양한 보안 시스템을 설치 및 운영하며 해킹 등과 같은 사이버 공격에 안전한 네트워크를 구성하기 위해 노력하고 있다.
하지만, 지속적으로 발전하는 사이버 공격 앞에서 보안 전문가들도 기업/기관의 네트워크가 안전한지 확신하지 못하고 있고 기하급수적으로 늘어가는 최신의 취약점들을 모두 파악하지 못하고 있으며, 기업/기관의 내/외부에서 어떤 취약점 및/또는 경로를 통해 사이버 공격이 일어날 수 있는지 확신하지 못하고 있다.
공격 그래프(Attack Graph)는 이러한 문제점을 해결하기 위해 기업/기관의 네트워크 환경 및/또는 취약점을 분석하여 공격자가 네트워크상에서 어떤 루트로 기업/기관의 핵심 정보자산에 도달할 수 있는지에 대한 공격 패스를 보여주기 위한 기법이다. 이를 통해서, 기업/기관의 네트워크 관리자는 사이버 공격을 방어하기 위해 네트워크상의 어떤 부분에 우선적으로 집중해야 하는지 확인할 수 있다.
대한민국등록특허 제10-18932530000호에는 복잡한 네트워크 연결 및 다수의 취약점을 갖는 네트워크 환경에서 네트워크 관리자를 위해 네트워크 시스템의 취약점을 분석하고 외부 또는 내부로부터의 정량적 평가에 의해 공격 그래프를 제시하고 공격 그래프로부터 최적의 침투 경로를 제시하는 기법이 개시되어 있다.
하지만, 이러한 최적의 침투 경로를 제시하는 기법에서는 침투 경로 예측의 정확도의 설정에 따라 예측 결과가 달라지게 된다. 종래에는 공격 그래프 생성시 취약점을 가지고 공격 그래프를 생성하였으나 취약점이 실행 가능한 애플리케이션 관련정보를 포함하지 않아 실제 취약점을 이용하여 공격 가능한지 신뢰성이 저하 되었다.
또한, 종래에는 자산의 토폴로지 관계, 취약점 정보 등을 관계형 DB(RDB: Relational Database)를 저장하고, 공격 탐색 조건이 주어진 시점에서 관계형 DB를 조회하여 공격 그래프를 생성하기 때문에 성능 저하의 원인이 된다. 이에, 종래의 취약점 기반의 사이버 공격그래프 기술의 예측의 정확도 및 성능을 향상시키기 위한 기술이 필요하다.
일 실시예에 따른 해결하고자 하는 과제는, 취약점 정보와 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하여 공격 대상을 예측하는 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치를 제공하는 데 있다.
해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따른 공격 대상 예측 장치는, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출부; 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정부; 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성부; 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함한다.
제 2 관점에 따른 공격 대상 예측 장치의 공격 대상 예측 방법은, 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출하는 정보 추출 단계; 상기 자산 정보에 대한 연관관계를 설정하는 데이터 관계 설정 단계; 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성하는 공격 그래프 생성 단계; 상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석 단계를 포함한다.
일 실시예에 따르면, 네트워크 정보 및 취약점 정보에 자산에서 실행 가능한 애플리케이션에 대한 정보를 추가로 고려함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 향상된다.
또한, 취약점, 네트워크 및 애플리케이션 정보에 대하여 대규모의 상황정보를 수집 및 표현하기 위한 그래프 DB를 활용함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 더욱 향상된다.
또한, 공격 경로에서 취약점, 네트워크 설정정보 및 애플리케이션 정보를 통해 자산의 취약점 및 접근 권한 등을 고려하여 공격 대상을 예측함으로써, 공격경로 상의 네트워크 자산의 피해를 예방할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 장치를 개략적으로 나타낸 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법을 설명하기 위한 순서도이다.
도 3은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 대상 예측 및 공격 대상의 위험도를 분석하는 동작을 설명하기 위한 순서도이다.
도 4는 본 발명의 실시예에 따른 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 취약점 정보 및 애플리케이션 정보를 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 그래프의 생성하고, 공격 대상 및 경로를 예측하는 동작을 설명하기 위한 도면이다.
도 7은 본 발명의 실시예에 따른 공격 대상 예측 장치의 공격 대상 위험도의 분석 결과를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법과 종래의 공격 대상 예측 방법을 비교하여 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법을 설명하기 위한 순서도이다.
도 3은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 대상 예측 및 공격 대상의 위험도를 분석하는 동작을 설명하기 위한 순서도이다.
도 4는 본 발명의 실시예에 따른 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 취약점 정보 및 애플리케이션 정보를 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 그래프의 생성하고, 공격 대상 및 경로를 예측하는 동작을 설명하기 위한 도면이다.
도 7은 본 발명의 실시예에 따른 공격 대상 예측 장치의 공격 대상 위험도의 분석 결과를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법과 종래의 공격 대상 예측 방법을 비교하여 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
또한, 본 명세서 및 청구범위에서는 구성요소들 간의 구별을 위하여 '제 1', '제 2' 등과 같이 서수를 포함하는 용어가 사용될 수 있다. 이러한 서수는 동일 또는 유사한 구성 요소들을 서로 구별하기 위하여 사용하는 것이며, 이러한 서수 사용으로 인하여 용어의 의미가 한정 해석되어서는 안 될 것이다. 일 예로, 이러한 서수와 결합된 구성 요소는 그 숫자에 의해 사용 순서나 배치 순서 등이 제한 해석되어서는 안 된다. 필요에 따라서는, 각 서수들은 서로 교체되어 사용될 수도 있다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
도 1은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 장치를 개략적으로 나타낸 블록 구성도이다.
본 실시예에 따른 공격 대상 예측 장치(100)는 정보 추출부(110), 데이터 관계 설정부(120), 공격 그래프 생성부(130) 및 공격 대상 분석부(140)를 포함한다. 도 1의 공격 대상 예측 장치(100)는 일 실시예에 따른 것으로서, 도 1에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 공격 대상 예측 장치(100)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다.
본 실시예에 따른 공격 대상 예측 장치(100)는 네트워크로 연결된 복수의 자산을 포함하는 정보 시스템이 가지고 있는 취약점과 해당 취약점이 실행 가능한 애플리케이션의 정보와 접근 가능성 등을 활용하여 공격 그래프를 생성하여 공격 대상을 예측한다.
공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 연관관계를 설정하고, 설정된 연관관계에 기초하여 공격 그래프를 생성함으로써, 공격 대상의 예측 정확도를 향상시킬 수 있다. 아울러, 공격 대상 예측 장치(100)는 연관관계에 기초하여 자산 관계 그래프를 생성한 후 생성된 자산 관계 그래프를 이용하여 공격 그래프를 생성함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도를 더욱 향상시킬 수 있다. 여기서, 공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 표현 및 저장하기 위하여 노트, 에지, 속성 등을 이용해 시맨틱 질의를 처리할 수 있는 그래프 구조의 데이터베이스(이하, 그래프 DB로 기재)를 사용할 수 있다.
공격 대상 예측 장치(100)는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 활용한 자산 관계 그래프를 그래프 DB에 사전에 학습해두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 자산 관계 그래프를 기반으로 경로를 탐색하여 공격 그래프를 생성할 수 있다. 또한, 공격 대상 예측 장치(100)는 자산의 애플리케이션 정보를 활용하여 실제 취약점을 이용하여 공격 가능한지에 대한 침투 경로의 예측 정확도를 향상시킬 수 있다.
정보 추출부(110)는 공격 그래프를 생성하기 위한 자산정보를 추출하는 동작을 수행한다. 여기서, 정보 추출부(110)는 취약점 정보 추출부(112), 네트워크 추출부(114) 및 애플리케이션 정보 추출부(116)를 포함할 수 있다.
취약점 정보 추출부(112)는 자산의 공개 취약점 정보와 취약점 점검 결과 정보 등을 포함하는 취약점 정보를 추출한다.
네트워크 추출부(114)는 자산의 네트워크 토폴로지, 접근 제어목록 정보 등을 포함하는 네트워크 정보를 추출한다. 여기서, 접근 제어목록 정보는 ACL(Access Control List) 설정정보일 수 있으며, 자산 접근과 관련된 권한 또는 정책에 대한 정보를 포함할 수 있다.
애플리케이션 정보 추출부(116)는 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보, 인증정보 등을 포함하는 애플리케이션 정보를 추출한다. 여기서, 응용 서비스 정보는 응용 서비스의 명칭과 버전 등을 포함할 수 있다.
한편, [표 1]에 기재된 바와 같이, 정보 추출부(110)는 공격 그래프를 구성하기 위한 다양한 자산 정보를 추출할 수 있다. 정보 추출부(110)는 자산 정보를 추출하기 위하여 다양한 데이터베이스를 활용할 수 있다. 예를 들면, NIST(National Institute of Standards and Technology)에서 제공하는 NVD(National Vulnerability Database), 오픈소스 진영에서 제공하는 OSVDB(Open Source Vulnerability Database), MITRE에서 제공하는 CVE(Common Vulnerabilities and Exposures), Symantec 등에서 제공하는 Symantec DeepSight 등이 활용 가능하다.
데이터 관계 설정부(120)는 자산에서 추출한 자산 정보를 저장하고, 자산 정보에 대한 연관관계를 설정하여 자산 관계 그래프를 생성한다. 데이터 관계 설정부(120)는 자산 관계 그래프 생성부(122) 및 자산 관계 그래프 갱신부(124)를 포함한다.
자산 관계 그래프 생성부(122)는 네트워크 정보에 포함된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 도달 가능성(reachability)을 판단하고, 도달 가능성을 기반으로 도달 가능성 그룹을 구성하여 자산 정보에 대한 연관관계를 설정한다.
구체적으로, 자산 관계 그래프 생성부(122)는 소정의 자산에 대한 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출한다. 자산 관계 그래프 생성부(122)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프를 생성할 수 있다.
또한, 자산 관계 그래프 생성부(122)는 자산의 취약점 정보 및 애플리케이션 정보를 기반으로 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 자산 관계 그래프를 생성한다.
자산 관계 그래프 생성부(122)는 애플리케이션 정보에 포함된 소유자 계정정보 및 인증정보를 기반으로 자산의 접근 가능 여부를 판단하고, 접근 가능 여부에 따라 자산 정보에 대한 연관관계를 설정할 수 있다.
한편, 자산 관계 그래프 생성부(122)는 자산의 취약 원인이 되는 서비스 거부, 정보 획득, 원격 명령 실행, 권한 상승 등의 조건 중 적어도 하나의 상태 변화 조건에 따라 자산 정보에 대한 연관관계를 설정할 수 있다.
자산 관계 그래프 갱신부(124)는 복수의 자산 중 적어도 하나의 자산의 정보가 변경된 경우, 변경된 자산 정보를 기반으로 자산 관계 그래프를 갱신한다. 그리고, 자산 관계 그래프 갱신부(124)는 자산 정보가 변경될 때마다 해당 자산의 변경된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 자산 관계 그래프를 갱신할 수 있다. 아울러, 자산 관계 그래프 갱신부(124)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 라우팅 정보, 방화벽 정책 등을 조회하고, 변경된 자산에 대하여 네트워크 토폴로지, 라우팅 정보, 방화벽 정책 등을 고려하여 소정의 자산을 제외한 나머지 자산들과 통신 가능한지 여부를 계산하여 도달 가능성 행렬을 산출할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 재구성할 수 있으며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프를 갱신할 수 있다. 또한, 자산 관계 그래프 갱신부(124)는 자산 정보가 변경될 때마다 해당 자산의 취약점 정보 및 사용 중인 서비스 정보를 수집하여 자산 관계 그래프를 갱신할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 어플리케이션 정보, 취약점 점검 결과 등을 조회하고, 자산과 자산별 보유 취약점을 해당 취약점이 초래할 수 있는 상태변화, 즉 서비스거부, 정보획득, 원격명령 실행, 권한상승 등을 기준으로 그룹화할 수 있다. 또한, 자산 관계 그래프 갱신부(124)는 자산별 보유 어플리케이션 서비스를 인증정보(예: credential)을 통해 자산의 주요 쉘(Shell)에 접근 가능 여부 기준으로 그룹화할 수 있다. 그리고, 자산 관계 그래프 갱신부(124)는 자산과 해당 자산이 보유한 취약점(취약점의 인스턴스(Instance)) 간의 연관관계를 재설정하여 자산 관계 그래프를 갱신할 수 있다.
공격 그래프 생성부(130)는 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단하고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성한다. 구체적으로, 공격 그래프 생성부(130)는 도달 가능성 및 취약점을 기반으로 공격 후보 대상을 식별할 수 있고, 공격 후보 대상의 접근 가능 여부를 기반으로 자산 관계 그래프를 탐색하여 공격 그래프를 생성할 수 있다.
공격 그래프 생성부(130)는 하나의 공격 후보 대상을 선정하고, 공격 후보 대상을 기준으로 공격 그래프 생성 조건에 따라 자산 관계 그래프를 탐색하여 공격 그래프를 생성한다. 여기서, 공격 그래프 생성 조건은 외부 장치 또는 사용자로부터 입력된 정보일 수 있으며, 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 포함할 수 있다.
공격 대상 분석부(140)는 생성된 공격 그래프를 기반으로 공격 경로를 탐색하고, 공격 경로를 기반으로 공격 대상을 예측하는 동작을 수행한다. 본 실시예에 따른 공격 대상 분석부(140)는 공격 그래프 탐색부(142), 공격 경로 예측부(144) 및 공격 대상 위험도 분석부(146)를 포함할 수 있다.
공격 그래프 탐색부(142)는 생성된 공격 그래프를 기반으로 적어도 하나의 공격 경로를 탐색한다.
공격 경로 예측부(144)는 공격 그래프 탐색부(142)에서 탐색된 적어도 하나의 공격 경로 중 최종 공격 경로를 결정하고, 최종 공격 경로에서 공격 대상을 예측한다. 그리고, 공격 경로 예측부(144)는 복수의 공격 경로가 탐지된 경우, 경로 별 도달 가능성, 취약점 상태, 방화벽 정책 수준 등을 고려하여 최종 공격 경로를 결정할 수 있다. 아울러, 공격 경로 예측부(144)는 최종 공격 경로에서 공격 그래프의 취약점과 실행 중인 애플리케이션을 기준으로 공격 대상을 예측할 수 있다. 또한, 공격 경로 예측부(144)는 공격 경로에 대해 알려진 취약점 및 속성정보뿐만 아니라 취약점 점검 솔루션을 추가로 수행하고, 취약점 점검 솔루션에 의한 실제 취약점 점검결과를 사용하여 공격 대상의 예측 정확도를 향상시킬 수 있다. 또한, 공격 경로 예측부(144)는 공격 경로에 포함된 자산의 애플리케이션 정보를 추출하여 해당 취약점이 실행하기 위한 애플리케이션과 시스템 권한 획득 가능 여부 등을 추가로 확인하여 공격 대상을 예측할 수 있으며, 이를 통해 공격 발생 위협의 영향 받을 자산 특징을 예측할 수 있다. 그리고, 공격 경로 예측부(144)는 예측된 공격 대상에 대한 정보를 외부 장치 또는 사용자에게 제공할 수 있다. 여기서, 공격 경로 예측부(144)는 공격 대상에 대한 취약점 및 취약점에서 실행 중인 애플리케이션 정보를 함께 포함하여 제공할 수 있다.
공격 대상 위험도 분석부(146)는 예측된 공격 대상의 자산 위험도를 산출할 수 있다. 그리고, 공격 대상 위험도 분석부(146)는 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 공격 대상의 자산 위험도를 평가할 수 있다. 공격 대상 위험도 분석부(146)는 [수학식 1]을 이용하여 자산 위험도를 산출할 수 있다.
(X: 위험도, D: 인접행렬, ΓPeT: 개발 가능성, X0: 초기값)
도 2는 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법을 설명하기 위한 순서도이다.
공격 대상 예측 장치(100)는 자산의 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 포함하는 자산 정보를 추출한다(S210).
공격 대상 예측 장치(100)는 추출된 자산 정보 간 연관 관계를 설정하여 자산 관계 그래프를 저장한다(S220).
공격 대상 예측 장치(100)는 네트워크 정보에 포함된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 도달 가능성을 판단하고, 도달 가능성을 기반으로 도달 가능성 그룹을 구성하여 자산 정보에 대한 연관관계를 설정하며, 자산의 취약점 정보 및 애플리케이션 정보를 기반으로 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 자산 관계 그래프를 생성한다.
공격 대상 예측 장치(100)는 자산 관계 그래프의 연관관계를 기반으로 도달 가능성 및 취약점 산출하여 공격 그래프를 생성한다(S230, S240). 예를 들어, 공격 대상 예측 장치(100)는 도달 가능성 및 취약점을 기반으로 공격 후보 대상을 식별하고, 공격 후보 대상의 접근 가능 여부를 기반으로 자산 관계 그래프를 탐색하여 공격 그래프를 생성할 수 있다.
공격 대상 예측 장치(100)는 외부장치 또는 사용자로부터 공격 대상 분석 요청이 있을 경우(S250), 공격 그래프에서 적어도 하나의 공격 경로를 탐색한다(S260).
공격 대상 예측 장치(100)는 적어도 하나의 공격 경로 상에서 공격 대상을 예측한다(S270). 예를 들어, 공격 대상 예측 장치(100)는 복수의 공격 경로가 탐지된 경우, 경로 별 도달 가능성, 취약점 상태, 방화벽 정책 수준 등을 고려하여 최종 공격 경로를 결정할 수 있다.
도 2에서는 각 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 2에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 2는 시계열적인 순서로 한정되는 것은 아니다.
도 2에 기재된 본 실시예에 따른 공격 대상 예측 방법은 애플리케이션(또는 프로그램)으로 구현되고 단말장치(또는 컴퓨터)로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 공격 대상 예측 방법을 구현하기 위한 애플리케이션(또는 프로그램)이 기록되고 단말장치(또는 컴퓨터)가 읽을 수 있는 기록매체는 컴퓨팅 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치 또는 매체를 포함한다.
도 3은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 대상 예측 및 공격 대상의 위험도를 분석하는 동작을 설명하기 위한 순서도이다.
복수의 자산 중 공격 대상을 예측하기 위하여 알고리즘이 실행되면, 공격 대상 예측 장치(100)는 분석기반의 종류를 확인한다(S310).
단계 S310의 확인 결과, 공격 대상 예측 장치(100)는 공격 그래프 기반으로 공격 대상을 예측하는 경우, 조건 입력 화면을 통해 공격 그래프 생성 조건을 입력 받는다(S320). 여기서, 공격 그래프 생성 조건은 외부 장치 또는 사용자로부터 입력된 정보일 수 있으며, 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 포함할 수 있다.
공격 대상 예측 장치(100)는 실제 사이버 공격 상황정보 또는 방어방책 적용 상황정보 등을 고려하여(S330, S340) 공격 그래프를 생성한다(S350). 여기서, 공격 그래프는 취약점 정보, 네트워크 정보 및 애플리케이션 정보를 활용하여 학습된 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단할 수 있고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 생성할 수 있다.
한편, 단계 S310의 확인 결과, 공격 대상 예측 장치(100)는 자산 특징 기반으로 공격 대상을 예측하는 경우, 외부 장치 또는 사용자로부터 자산 특징을 입력 받고(S312), 공격에 취약한 자산을 식별하고, 공격에 취약한 특징과 동일한 특징을 가지는 동일 특징 자산을 식별하여 공격 대상을 예측한다(S314).
공격 대상 예측 장치(100)는 공격 그래프 또는 자산 특징을 기반으로 예측된 공격 대상에 대한 자산 위험도 평가를 수행하고(S360), 수행에 대한 평가 결과를 저장 및 관리한다(S370).
도 3에서는 각 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 3에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 3은 시계열적인 순서로 한정되는 것은 아니다.
도 4는 본 발명의 실시예에 따른 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
도 4의 (a)에 나타낸 샘플 네트워크(Sample Network)를 참조하면, 공격 대상 예측 장치(100)는 자산 정보가 변경될 때마다 해당 자산의 변경된 네트워크 토폴로지 및 접근 제어목록 정보를 조회하여 자산 관계 그래프를 갱신한다.
도 4의 (b)를 참조하면, 공격 대상 예측 장치(100)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 라우팅 정보, 방화벽 정책 등을 조회하고, 변경된 자산에 대하여 네트워크 토폴로지, 라우팅 정보, 방화벽 정책 등을 고려하여 소정의 자산을 제외한 나머지 자산들과 통신 가능한지 여부를 계산하여 도달 가능성 행렬(Reachability Matrix)을 산출한다.
도 4의 (c) 및 (d)를 참조하면, 공격 대상 예측 장치(100)는 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹(reachability group)으로 재구성하며, 도달 가능성 그룹에 대한 관계를 이용하여 자산 관계 그래프(Asset Relation Graph)를 갱신한다.
도 5는 본 발명의 실시예에 따른 취약점 정보 및 애플리케이션 정보를 네트워크 정보를 기반으로 자산 관계 그래프를 처리하는 동작을 설명하기 위한 도면이다.
공격 대상 예측 장치(100)는 자산 별 보유 취약점을 해당 자산 장악 가능 여부를 기준으로 분류할 수 있다.
도 5의 제1 분류 그룹(510)을 참고하면, A 자산에 서비스거부, 정보획득과 관련된 취약점이 존재하는 경우, A 자산은 접근 권한 획득을 못하고, 다음 자산으로 진행될 수 없다. 또한, A 자산에 원격명령 실행과 관련된 취약점이 존재하는 경우, A 자산은 접근 권한을 획득하고, 다음 자산으로 진행될 수 있다. 또한, A 자산에 권한 상승과 관련된 취약점이 존재하는 경우, 다음 자산 진행할 수 없으나 A 자산에 대한 권한은 상승될 수 있다.
공격 대상 예측 장치(100)는 자산 별 보유 애플리케이션을 해당 자산에 로그인 가능 여부를 기준으로 분류할 수 있다.
도 5의 제2 분류 그룹(520)을 참고하면, D 자산은 보유 애플리케이션의 접근 권한 정보에 따라 다음 자산 이동 진행 여부가 결정될 수 있다. 여기서, D 자산은 애플리케이션의 소유 계정을 고려하여 접근 권한 정보를 확인할 수 있다.
공격 대상 예측 장치(100)는 자산 정보가 변경될 때마다 해당 자산의 취약점 정보 및 사용 중인 서비스 정보를 수집하여 자산 관계 그래프를 갱신할 수 있다.
그리고, 공격 대상 예측 장치(100)는 소정의 자산에 대해 추가 또는 변경된 추가 변경된 자산 정보, 어플리케이션 정보, 취약점 점검 결과 등을 조회하고, 자산과 자산별 보유 취약점을 해당 취약점이 초래할 수 있는 상태변화 즉 서비스거부, 정보획득, 원격명령 실행, 권한상승 등을 기준으로 그룹화한다. 또한, 공격 대상 예측 장치(100)는 자산별 보유 어플리케이션 서비스를 인증정보(예: credential)을 통해 자산의 주요 쉘(Shell)에 접근 가능 여부 기준으로 그룹화할 수 있다.
아울러, 공격 대상 예측 장치(100)는 자산과 해당 자산이 보유한 취약점(취약점의 인스턴스(Instance)) 간의 연관관계를 재설정하여 자산 관계 그래프를 갱신할 수 있다.
도 6은 본 발명의 실시예에 따른 공격 대상 예측 장치에서 공격 그래프의 생성하고, 공격 대상 및 경로를 예측하는 동작을 설명하기 위한 도면이다.
도 6의 (a)는 자산 관계 그래프를 기반으로 도달 가능성 및 취약점을 판단하고, 도달 가능성 및 취약점을 이용하여 공격 그래프를 탐색하는 동작을 나타낸 예시도이다. 또한, 도 6의 (b)는 공격 그래프의 탐색 결과를 기반으로 생성된 공격 그래프를 나타낸 예시도이다.
도 6의 (a)에 도시된 바와 같이, 자산 관계 그래프 내에서 다음 도달 가능성 그룹으로 진행하기 위해서는 경유 노드가 Vul_root 또는 App_shell을 가지고 있어야 하는 것을 확인할 수 있다.
도 6의 (b)에 도시된 바와 같이, 공격 대상 예측 장치(100)는 탐색 결과의 공격 그래프를 통해 제1 공격 경로(B→ C→ E) 및 제2 공격 경로(B→ D→ E)를 예측할 수 있다.
공격 대상 예측 장치(100)는 분석 조건 및 결과 공격 그래프의 스냅샷을 저장할 수 있다. 공격 대상 예측 장치(100)는 저장된 스냅샷을 통해 향후 동일한 공격 그래프를 재현할 수 있도록 노드-에지-노드(node-edge-node)를 각각 분리하여 저장할 수 있다.
도 7은 본 발명의 실시예에 따른 공격 대상 예측 장치의 공격 대상 위험도의 분석 결과를 나타낸 도면이다.
도 7을 참조하면, 공격 대상 예측 장치(100)는 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 공격 대상의 자산 위험도를 평가할 수 있다.
도 7의 (a)는 자산 의존 그래프를 나타내고, 도 7의 (b)는 자산 의존 그래프에 대한 자산 랭크(AssetRank)를 나타낸다. 도 7의 (a) 및 (b)를 통해 공격 대상 예측 장치(100)는 공격 대상 자산의 위험도 및 예상 피해를 정량적으로 제시할 수 있고, 공격 그래프 기반의 AssetRank 알고리즘을 활용하여 위험도를 평가할 수 있다.
도 8은 본 발명의 실시예에 따른 공격 그래프 기반의 공격 대상 예측 방법과 종래의 공격 대상 예측 방법을 비교하여 설명하기 위한 도면이다.
도 8의 (a)는 종래의 공격 그래프 생성 방식의 데이터베이스 구조(관계형 DB)를 나타내고, 도 8의 (b)는 본 실시예에 따른 공격 그래프 생성 방식의 데이터베이스 구조(그래프 DB)를 나타낸다.
종래의 공격 그래프 생성 방식의 데이터베이스 구조는 다음과 같은 특징을 가진다.
- 데이터 형태: 고정적이고, 사전 정의된 테이블
- 쿼리 성능: JOIN이 적을 경우는 빠르고 안정적 / JOIN의 깊이(depth)가 증가함에 따라 데이터 처리 성능이 악화됨
- 데이터 표현: 테이블 형태의 표시만 가능 / 실생활을 시각적으로 표현하기 어려움
본 실시예에 따른 공격 그래프 생성 방식은 다음과 같은 특징을 가진다.
- 데이터 형태: 연결된 데이터(자산들의 도달 가능성, 취약점 관계로 서로 연결되어 있는 데이터를 저장하는 데 있어 그래프 DB가 적합)
- 쿼리 성능: 관계의 깊이 수와 관계없이 제로(zero) 지연 및 실시간 성능을 보장(공격자 위치에서 침투 가능한 모든 자산을 발견하는 공격 그래프 특성상 탐색 깊이에 제한이 있어서는 안됨)
- 데이터 표현: 실생활에 대한 모델링 및 시각화에 적합(공격 그래프를 구성하는 자산간의 관계를 토폴로지에 가깝게 표현하는 데 있어 그래프 DB가 적합)
전술한 내용을 기반으로 종래의 공격 그래프 생성 방식과 본 실시예에 따른 공격 그래프 생성 방식을 비교한 결과, 공격 그래프와 같이 노드 간의 관계가 복잡하고 그래프 탐색 깊이에 제한이 상대적으로 적은 그래프 DB에 저장하여 경로를 탐색하도록 구성하는 것이 공격 대상을 예측하는 데 효율적이다. 이러한 비교 내용은 [표 2]에 기재되어 있다. ([표 2]에서, RDBS: 종래의 공격 그래프 생성 방식, Neo4j: 본 실시예에 따른 공격 그래프 생성 방식)
지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 네트워크 정보 및 취약점 정보에 자산에서 실행 가능한 애플리케이션에 대한 정보를 추가로 고려함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 향상된다.
또한, 취약점, 네트워크 및 애플리케이션 정보에 대하여 대규모의 상황정보를 수집 및 표현하기 위한 그래프 DB를 활용함으로써, 공격 그래프를 이용한 공격 대상의 예측 정확도가 더욱 향상된다.
또한, 공격 경로에서 취약점, 네트워크 설정정보 및 애플리케이션 정보를 통해 자산의 취약점 및 접근 권한 등을 고려하여 공격 대상을 예측함으로써, 공격경로 상의 네트워크 자산의 피해를 예방할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 공격 대상 예측 장치
110: 정보 추출부 120: 데이터 관계 설정부
130: 공격 그래프 생성부 140: 공격 대상 분석부
110: 정보 추출부 120: 데이터 관계 설정부
130: 공격 그래프 생성부 140: 공격 대상 분석부
Claims (14)
- 취약점 정보(자산의 공개 취약점 정보와 취약점 점검 결과 정보를 포함), 네트워크 정보(상기 자산의 네트워크 토폴로지와 접근 제어목록 정보를 포함) 및 애플리케이션 정보(상기 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보 및 인증정보를 포함)를 포함하는 자산 정보를 추출하는 정보 추출부;
상기 자산 정보에 대한 연관관계를 설정하고, 상기 연관관계에 기초하여 자산 관계 그래프를 생성하는 데이터 관계 설정부;
상기 자산 관계 그래프를 기반으로 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 판단한 후 판단된 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 공격 그래프를 생성하는 공격 그래프 생성부; 및
상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석부를 포함하고,
상기 공격 그래프 생성부는, 상기 자산 관계 그래프를 사전에 학습해 두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 상기 자산 관계 그래프를 기반으로 경로를 탐색하여 상기 공격 그래프를 생성하되,
상기 데이터 관계 설정부는,
소정의 자산에 대한 상기 네트워크 토폴로지 및 상기 접근 제어목록 정보를 조회하여 상기 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출하고, 상기 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하여 상기 자산 정보에 대한 연관관계를 설정하며, 상기 도달 가능성 그룹에 대한 관계를 이용하여 상기 자산 관계 그래프를 생성하는 자산 관계 그래프 생성부와,
상기 자산 중 적어도 하나의 정보가 변경된 경우 변경된 자산 정보를 기반으로 상기 자산 관계 그래프를 갱신하고, 자산별 보유 어플리케이션 서비스를 상기 인증정보를 통해 상기 자산의 특정 쉘(Shell)에 접근 가능 여부 기준으로 그룹화하고, 상기 자산과 해당 자산이 보유한 취약점 간의 연관관계를 재설정하여 상기 자산 관계 그래프를 갱신하는 자산 관계 그래프 갱신부를 포함하는
공격 대상 예측 장치. - 삭제
- 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,
상기 데이터 관계 설정부는, 상기 자산의 상기 취약점 정보 및 상기 애플리케이션 정보를 기반으로 상기 자산의 서비스 정보와 취약점 간의 연관관계를 설정하여 상기 자산 관계 그래프를 생성하는
공격 대상 예측 장치. - 제 6 항에 있어서,
상기 데이터 관계 설정부는, 상기 자산의 취약 원인이 되는 서비스 거부, 정보 획득, 원격 명령 실행 및 권한 상승 중 적어도 하나의 상태 변화 조건에 따라 상기 자산 정보에 대한 연관관계를 설정하는
공격 대상 예측 장치. - 제 6 항에 있어서,
상기 데이터 관계 설정부는, 상기 애플리케이션 정보에 포함된 소유자 계정정보 및 인증정보를 기반으로 자산의 접근 가능 여부를 판단하고, 상기 접근 가능 여부에 따라 상기 자산 정보에 대한 연관관계를 설정하는
공격 대상 예측 장치. - 제 1 항에 있어서,
상기 공격 그래프 생성부는, 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 상기 공격 그래프를 생성하는
공격 대상 예측 장치. - 제 9 항에 있어서,
상기 공격 대상 분석부는, 상기 공격 그래프의 취약점과 실행 중인 애플리케이션을 기준으로 상기 공격 경로를 탐색하여 상기 공격 대상을 예측하고, 상기 공격 대상에 대한 취약점 및 상기 취약점에서 실행 중인 애플리케이션 정보를 제공하는
공격 대상 예측 장치. - 공격 대상 예측 장치의 공격 대상 예측 방법으로서,
취약점 정보(자산의 공개 취약점 정보와 취약점 점검 결과 정보를 포함), 네트워크 정보(상기 자산의 네트워크 토폴로지와 접근 제어목록 정보를 포함) 및 애플리케이션 정보(상기 자산에서 실행 가능한 응용 서비스 정보, 소유자 계정정보 및 인증정보를 포함)를 포함하는 자산 정보를 추출하는 정보 추출 단계;
상기 자산 정보에 대한 연관관계를 설정하고, 상기 연관관계에 기초하여 자산 관계 그래프를 생성하는 데이터 관계 설정 단계;
상기 자산 관계 그래프를 기반으로 상기 자산 정보 및 상기 연관관계에 기초하여 판단한 도달 가능성 및 취약점을 판단한 후 판단된 상기 도달 가능성 및 상기 취약점을 기반으로 공격 후보 대상을 식별하고, 상기 공격 후보 대상의 접근 가능 여부를 기반으로 상기 자산 관계 그래프를 탐색하여 공격 그래프를 생성하는 공격 그래프 생성 단계; 및
상기 공격 그래프를 기반으로 탐색한 공격 경로에 기초하여 공격 대상을 예측하는 공격 대상 분석 단계를 포함하고,
상기 공격 그래프 생성 단계는, 상기 자산 관계 그래프를 사전에 학습해 두고, 공격 대상 예측에 대한 조건이 주어진 시점에 바로 상기 자산 관계 그래프를 기반으로 경로를 탐색하여 상기 공격 그래프를 생성하되,
상기 데이터 관계 설정 단계는,
소정의 자산에 대한 상기 네트워크 토폴로지 및 상기 접근 제어목록 정보를 조회하여 상기 소정의 자산을 제외한 나머지 자산들과의 도달 가능성에 대한 도달 가능성 행렬을 산출하고, 상기 도달 가능성 행렬에서 동일한 도달 가능성을 가지는 자산들을 도달 가능성 그룹으로 구성하여 상기 자산 정보에 대한 연관관계를 설정하며, 상기 도달 가능성 그룹에 대한 관계를 이용하여 상기 자산 관계 그래프를 생성하는 단계와,
상기 자산 중 적어도 하나의 정보가 변경된 경우 변경된 자산 정보를 기반으로 상기 자산 관계 그래프를 갱신하고, 자산별 보유 어플리케이션 서비스를 상기 인증정보를 통해 상기 자산의 특정 쉘(Shell)에 접근 가능 여부 기준으로 그룹화하고, 상기 자산과 해당 자산이 보유한 취약점 간의 연관관계를 재설정하여 상기 자산 관계 그래프를 갱신하는 단계를 포함하는
공격 대상 예측 방법. - 삭제
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190166029A KR102295654B1 (ko) | 2019-12-12 | 2019-12-12 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190166029A KR102295654B1 (ko) | 2019-12-12 | 2019-12-12 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210074891A KR20210074891A (ko) | 2021-06-22 |
KR102295654B1 true KR102295654B1 (ko) | 2021-08-30 |
Family
ID=76600636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190166029A KR102295654B1 (ko) | 2019-12-12 | 2019-12-12 | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102295654B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102497865B1 (ko) * | 2022-07-13 | 2023-02-08 | 국방과학연구소 | 사이버 공세적 대응 방책 추천 장치 및 방법 |
KR102639316B1 (ko) | 2023-06-01 | 2024-02-20 | 국방과학연구소 | 공격 비용 기반 사이버 표적 추천 장치 및 방법 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102408568B1 (ko) * | 2021-09-16 | 2022-06-14 | 주식회사 이글루코퍼레이션 | 셀과 레이어를 이용하여 네트워크 위협 탐지를 표시하는 자산 운영 장치, 방법 및 프로그램 |
CN113992355B (zh) * | 2021-09-28 | 2023-11-07 | 新华三信息安全技术有限公司 | 一种攻击预测方法、装置、设备及机器可读存储介质 |
CN113949570B (zh) * | 2021-10-18 | 2022-09-16 | 北京航空航天大学 | 一种基于攻击图的渗透测试攻击路径选择方法及系统 |
CN114615066A (zh) * | 2022-03-17 | 2022-06-10 | 浙江网商银行股份有限公司 | 目标路径确定方法以及装置 |
US12015636B2 (en) * | 2022-07-30 | 2024-06-18 | James Whitmore | Automated modeling and analysis of security attacks and attack surfaces for an information system or computing device |
CN115913640B (zh) * | 2022-10-19 | 2023-09-05 | 南京南瑞信息通信科技有限公司 | 一种基于攻击图的大型网络攻击推演及风险预警方法 |
CN116346480B (zh) * | 2023-03-31 | 2024-05-28 | 华能信息技术有限公司 | 一种网络安全运营工作台分析方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102153926B1 (ko) * | 2017-08-10 | 2020-09-10 | 한국전자통신연구원 | 네트워크 보안 강화 장치 및 그 방법 |
KR20190119239A (ko) * | 2018-04-05 | 2019-10-22 | 주식회사 비즈프렌즈 | It보안 위험 관리 장치 |
-
2019
- 2019-12-12 KR KR1020190166029A patent/KR102295654B1/ko active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102497865B1 (ko) * | 2022-07-13 | 2023-02-08 | 국방과학연구소 | 사이버 공세적 대응 방책 추천 장치 및 방법 |
KR102639316B1 (ko) | 2023-06-01 | 2024-02-20 | 국방과학연구소 | 공격 비용 기반 사이버 표적 추천 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20210074891A (ko) | 2021-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102295654B1 (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
Kaynar | A taxonomy for attack graph generation and usage in network security | |
US12034767B2 (en) | Artificial intelligence adversary red team | |
US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
US20210352095A1 (en) | Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking | |
US9785755B2 (en) | Predictive hypothesis exploration using planning | |
Hankin et al. | Attack dynamics: An automatic attack graph generation framework based on system topology, CAPEC, CWE, and CVE databases | |
CN115277127A (zh) | 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
Tayouri et al. | A survey of MulVAL extensions and their attack scenarios coverage | |
US20230396641A1 (en) | Adaptive system for network and security management | |
Nkosi et al. | Insider threat detection model for the cloud | |
Xuan et al. | A novel intelligent cognitive computing-based APT malware detection for Endpoint systems | |
Marin et al. | Inductive and deductive reasoning to assist in cyber-attack prediction | |
CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
Mathew et al. | Situation awareness of multistage cyber attacks by semantic event fusion | |
Nebbione et al. | A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments | |
Alamleh et al. | Machine learning-based detection of smartphone malware: Challenges and solutions | |
Xuan et al. | New approach for APT malware detection on the workstation based on process profile | |
Al-Sada et al. | MITRE ATT&CK: State of the Art and Way Forward | |
Ammi et al. | Cyber Threat Hunting Case Study using MISP. | |
Yeboah-Ofori et al. | Cyber resilience in supply chain system security using machine learning for threat predictions | |
Kim et al. | Time-based moving target defense using Bayesian attack graph analysis | |
Liu et al. | A Markov detection tree-based centralized scheme to automatically identify malicious webpages on cloud platforms | |
Wang et al. | An end-to-end method for advanced persistent threats reconstruction in large-scale networks based on alert and log correlation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |